Dora, NIS 2 : comment évaluer la cybersécurité de ses prestataires ?
Entré en application le 17 janvier 2025, le règlement Digital Operational Resilience Act (Dora) renforce la cyber-résilience des entités financières (banques, assurances, etc.). Pour cela, elle leur impose d'évaluer régulièrement la cybersécurité de leurs prestataires qui leur fournissent des services de technologies de l'information et de la communication (TIC). La directive NIS 2, en cours de transposition, oblige aussi les entités qu'elle régule à contrôler la cybersécurité de leurs prestataires. L'objectif des deux textes est que "la cybersécurité des fournisseurs soit autant renforcée que les entités qu'ils visent. C'est pourquoi celles-ci doivent vérifier que leurs prestataires soient cohérents avec leurs propres exigences de sécurité", estime Eric Barbry, avocat spécialisé en droit de la cybersécurité.
Comment auditer pour choisir les bons prestataires
Avant de conclure un contrat avec un prestataire, l'entité soumise à Dora ou NIS 2 doit s'assurer que la cybersécurité de celui-ci est conforme à ses exigences. Pour cela, elle peut lancer un security rating qui est un dispositif chargé d'évaluer le niveau de cybersécurité d'un acteur grâce à une analyse automatisée de données accessibles publiquement. Coûtant quelques milliers d'euros selon Philippe Bacha, cofondateur de la société Karman Cyber Defence, le security rating repère des failles de sécurité visibles dans les données présentes dans le web grâce à des scans passifs : fuites de données, vulnérabilités non corrigées, logiciels obsolètes, présence dans des listes noires, etc. A partir de ces scans, l'entreprise chargée d'effectuer le security rating attribue un score au prestataire sur une échelle qu'elle choisit. C'est en fonction de ce score que l'entité décide de contracter ou non avec le prestataire ciblé.
Toutefois, le security rating permet seulement de connaitre les failles de sécurité du prestataire observables à l'extérieur de son système d'information. C'est pourquoi François Ehly préconise aussi de lui demander de répondre à un questionnaire évaluant la sécurité de son propre système d'information. Il s'agit d'un audit documentaire "qui s'assure, par exemple, que la double authentification est garantie ou que la sécurité physique des ordinateurs est bien assurée", explique Alexandra Iteanu, avocate spécialisée en droit de la cybersécurité. Des preuves peuvent être demandées comme "les contrats que le prestataire a conclus avec ses propres sous-traitants ou le document faisant état de ses politiques de sécurité du système d'information et de gestion des incidents" précise-t-elle.
Comment auditer le prestataire pendant le contrat
Après avoir conclu un contrat avec un prestataire, l'entité régulée par Dora ou NIS 2 doit continuer d'évaluer la cybersécurité de celui-ci régulièrement. Pour cela, elle peut poursuivre le security rating "de manière mensuelle ou bimensuelle" comme le préconise Philippe Bacha. Aussi, elle doit inclure des clauses dans son contrat avec le prestataire qui lui permettent de l'auditer régulièrement. Eric Barbry conseille d'y ajouter "un protocole d'audit permettant de définir les conditions dans lesquelles il va pouvoir être mené". Ces audits peuvent être documentaires, comme au moment du choix du prestataire, et sur site.
L'audit sur site permet d'inspecter plus précisément la cybersécurité du prestataire. Il dure en général une journée et mobilise soit un avocat et un expert de la cybersécurité soit seulement un expert. Ce dernier "doit être indépendant et est souvent choisi avec l'accord du prestataire inspecté. Il peut s'agir d'un expert judiciaire. Tout un processus est mis en œuvre pour ne pas que l'inspection soit effectuée de manière opaque ou contre le secret des affaires de l'entreprise", précise Alexandra Iteanu. "En général l'entreprise met à disposition une salle où se réunissent les différentes personnes qui sont concernées et vont être auditionnées comme le RSSI, le délégué à la protection des données, le responsable légal, etc. Puis on va les auditionner tout au long de la journée. A la fin de l'audition un rapport est remis au client. Celui-ci lui permet de connaître le degré de conformité de son fournisseur à ses critères de cybersécurité", précise-t-elle. Ces critères se trouvent "dans un annexe au contrat avec le fournisseur est peuvent être ceux-ci : le fournisseur doit avoir un RSSI, il doit avoir une approche par le risque, une politique de sécurité, etc." précise François Ehly.
Selon Eric Barby, cet audit sur site n'est effectué que dans trois situations : "Quand l'entreprise souhaite vérifier que les réponses au questionnaire sont correctes à la suite d'une violation de sécurité. Quand elle estime qu'il existe des indices démontrant l'existence d'un risque élevé d'une violation de sécurité : plaintes de clients, etc. Puis quand une autorité de contrôle comme l'Agence nationale de la sécurité des systèmes d'information ou l'Autorité des marché financiers impose à l'entreprise d'auditer son prestataire".
Un contrat avec un prestataire peut être résilié à cause d'un audit
Qu'il soit documentaire ou sur site, l'audit fait partie des documents que l'entité régulée par Dora ou NIS 2 doit fournir en cas de contrôle par l'autorité compétente (Agence nationale de la sécurité des systèmes d'information, Autorité des marchés financiers, Autorité de contrôle prudentiel et de résolution, etc.). Coûtant en général entre 5 000 et 15 000 euros selon François Ehly, certains contrats obligent parfois le prestataire à le payer s'il a été effectué à cause d'une défaillance de sa sécurité. Enfin, le RSSI prévient qu'un rapport d'audit qui constate un manquement grave aux obligations de sécurité de la part du prestataire peut aboutir à la résiliation de son contrat.